Embed Size (px)
DESCRIPTION
lx lab no.87 vc104
Citation preview
資策會 網路工程班 第 87期
Linux LAB 30%
個人報告
Snort入侵偵測系統
姓名:林珮瑩
指導老師:彭學勤 老師
楊宏文 老師
林旺聰 老師
Snort 預期目標
偵測異常行為
自動更新規則檔並寄信通知
利用 MySQL儲存 SNORT的 Log記錄
用 BASE連結 MySQL 資料庫以圖形化查看
實驗環境
OpenSuse 11.1 一台
Win XP 一台
安裝程式&套件
Snort 主程式
• snort-2.8.5-1.1
封包套件
• libpcap0
• libpcap-devel
• pcre
• pcre-devel
備份 log 套件
• logrotate
MySQL 套件
• mysql
• mysql-client
• libmysqlclient15
• libmysqlclien-devel
Apache 套件
• Apache2
• apache2-mod_php5
• Php5
• php5-mysql
• php5-dg
OinkMaster 套件
• oinkmaster-2.0
BASE 套件
• base-1.4.4
• adodb510
實驗過程
設定 snort組態檔 #vim /etc/snort/snort.conf
設定網段 ip
確認路徑正確
將 snort規則解壓縮到/etc/snort/rules/底下
並測試 Snort 組態檔 #cp rules/* /etc/snort/rules/
最後出現 Snort successfully loaded all rules and checked all rule chains
表示組態檔正確。
模擬入侵
以另一台 XP用 scan port來測試
試著 scan10.120.123.12的 port
將 log檔存入 MySQL資料庫
設定 snort登入 MySQL的資料#vim /etc/snort/snort.conf
建立 MySQL帳號、密碼及資料庫
#mysql -u root -p
Enter password:123456
mysql>create database snortdb;
mysql>use snortdb;
mysql>grant all on snortdb.* to snort@localhost;
mysql>set password for snort@localhost=password(‘123’)
mysql>flush privileges;
mysql>exit
匯入Snort 的MySQL 資料表與欄位
#mysql -u snort -p snortdb <
/usr/share/doc/packages/snort/schemas/create_mysql
Base設定
#vim /srv/www/htdocs/base/ base_conf.php
瀏覽器進入base查看 http://10.120.123.12/base
用 Oinkmaster來更新 SNORT 規則
要先去 SNORT 的官方網站取得自己的 oinkcode
把取得的 oinkcode 貼到/etc/oinkmaster.conf 內的<oinkcode>
設定排程讓規則自動更新並寄通知信
我設定為每天 8:35分自動更新規則,並且寄通知信件到指定的
e-mail帳號
收到規則檔已比對更新的通知信
參考資料來源
http://140.115.236.9/xms/
http://forum.icst.org.tw/phpbb/viewtopic.php?t=14590
http://www.snort.org
http://base.secureideas.net
